Етап 4. Пробне тестування роботи системи та висновки щодо ефективності роботи системи

Фаза 1. Перевірка на відповідність

Аудиторські заходи:

· вибірковий аудит та тестування операцій;

· підтвердження раніше отриманих даних;

· техніка комп’ютерного аудиту;

· фінансовий аналіз.

Фаза 2. Перевірка та підтвердження роботи системи та ключових видів контролю

Аудиторські заходи:

· вибірковий аудит та тестування операцій;

· підтвердження раніше отриманих даних;

· техніка комп’ютерного аудиту;

· фінансовий аналіз;

· аналіз на суттєвість;

· визначення результатів етапу підтвердження.

Фаза 3. Підтвердити наявність суттєвих недоліків

Аудиторські заходи:

· визначити причину недостатності або відсутності певних видів контролю;

· визначити наслідки або вплив виявлених недоліків;

· зробити попередні висновки.

Фаза 4. Обговорення аудиторських висновків з керівниками департаменту

Аудиторські заходи:

· підтвердження виявлених фактів;

· ознайомлення з думкою департаменту, в якому проводиться аудит;

· усний звіт про незначні відхилення.

Фаза 5. Остаточні висновки та запропоновані рекомендації

Аудиторські заходи:

· Написання та погодження звіту.

· Визначення остаточних рекомендацій.

Б 03 Оцінка аудиторських ризиків та планування аудиторських перевірок на рік

03.1 Модель оцінки аудиторських ризиків використовується для ефективного застосування наявних ресурсів Служби внутрішнього аудиту шляхом аналізу ризиків, пов’язаних із всіма потенційно можливими аудиторськими перевірками.

На основі Моделі оцінки аудиторських ризиків буде визначено ступінь (рейтинг) ризиків, пов’язаних з аудитом всіх напрямків діяльності банку. На основі рейтингу ризиків визначають пріоритетність аудиторських перевірок та складають графік їх проведення. Такий підхід дещо відрізняється від практики, поширеної в минулому, коли послідовність та періодичність аудиторських перевірок здебільшого визначалася на основі суб’єктивного судження про наявні ризики та терміну попередньої перевірки.

Модель ризиків грунтується на шести факторах:

1. Результати попередньої аудиторської перевірки.

2. Чутливість до притаманних ризиків.

3. Стан управління.

4. Ступінь впевненості у ефективності керівництва департаментом.

5. Зміни в штатному розкладі та персональному складі департаменту і конфігурації систем, що ним експлуатуються.

6. Складність аудиторської перевірки.

Кожна аудиторська перевірка отримає рейтинг по названим 6 факторам в балах від 1 до 3: 1 = “можливо, без проблем”, 2 = “можливо, проблеми існують”, 3 = “напевне, проблеми є”. Всі виставлені по факторам бали підсумовують і множать на фактор коефіцієнт давності. Коефіцієнти давності:

· 100%, якщо аналогічна аудиторська перевірка проводилася протягом останніх 24 міс.

· 125%, якщо аудиторська перевірка проводилася від 24 до 36 місяців тому.

· 150%, якщо аудиторська перевірка проводилася від 36 до 60 місяців тому.

· 200%, якщо остання аудиторська перевірка проводилася більше 60 місяців тому.

Рейтинг ризику кожної з аудиторських перевірок становитиме від 6 до 36 балів. Тепер у відповідності до рейтингу ризику ми розподілимо всі аудиторські перевірки на 4 групи. Перші 10% перевірок, що мають найвищий рейтинг, представляють найвищий ризик. Наступні 30% представляють підвищений ризик. Третя група охоплює наступні 40% можливих аудиторських перевірок, яким притаманний помірний ризик. Остання група з 20%, що має найнижчий рейтинг, вважається групою низького ризику. При складанні плану аудиторських перевірок на рік до нього включають вибірку з кожної із чотирьох груп на основі таких критеріїв. Аудиторські перевірки департаментів, ризики яких оцінені як високі, здійснюються на 100%. Група підвищеного ризику перевіряється на 50%. Група помірного ризику представлена в плані роботи на рік на 25%, група низького ризику – у вигляді вибірки 10%. Вибірка з групи низького ризику включена до плану аудиторських перевірок на рік для того, щоб підтвердити адекватність критеріїв рейтингу та правильне визначення групи ризику.

Хоча складання моделі ризиків потребує певної суб’єктивної оцінки, процес визначення ризиків для кожного окремого аудиту ретельно документується і підлягає грунтовній оцінці і аналізу. Застосування моделі сприяє також єдності підходу при визначенні ризиків по кожному з окремих сегментів аудиту, наприклад, пропонує об’єктивний підхід при оцінці аналогічних напрямків аудиту в різних філіях/ відділеннях банку та географічних регіонах, де банк здійснює свою діяльність.

Визначення сукупності аудиторських перевірок є першим кроком на шляху рейтингу ризиків. Сукупність аудиторських перевірок, ризики яких будуть оцінюватися та увійдуть до моделі ризиків, визначається менеджерами та начальником Служби внутрішнього аудиту. Вони визначатимуть сукупність аудиторських перевірок грунтуючись на їх знайомстві із стратегічними планами розвитку банку, особливостями діяльності та структурною організацією банку, колом обов’язків кожного з департаментів, бесідах з керівниками всіх служб.

Критерії рейтингу ризиків трактуються наступним чином: